DevSecOps におけるデータセキュリティポスチャ―管理（DSPM）

現代の DevOps チームは次から次へと作業をこなし、マルチクラウド環境上で新機能やサービスを猛烈なスピードで作成して完成させていきます。

しかし、そのスピードにはリスクもあり、特に、機密データの取り扱いがある場合、なおさらです。

データセキュリティポスチャー管理（DSPM）は、ソフトウェア開発ライフサイクル（SDLC）の早い段階でデータエクスポージャーリスクを特定し修正するために必要な可視性と文脈を DevSecOps 担当者にに提供します。 

DSPM をクラウドネイティブなワークフローに統合することで、データ保護を前倒し (シフトレフト) し、影響範囲を最小限に抑え、コストのかかるセキュリティ障害を回避することができます。

クラウドネイティブな開発手法は、スピード、自動化、スケールを優先します。 開発者は新しい環境やサービスや統合を数分で立ち上げることができます。 

しかし、一元化された可視性がなければ、機密データは以下のような場所に隠されてしまうおそれがあります。

• 適切なセキュリティコントロールがない開発環境またはステージング環境
• 自動処理によって作成されたシャドーデータベースまたはストレージバケット
• 暗号化されていないコードリポジトリや設定ファイル
• 実際の生産記録を含むテストデータ

従来のセキュリティツール (多くの脆弱性管理プラットフォームを含む) では、データそのものに対する可視性が欠けているため、こうした問題は発見されないことが多いのです。 インフラの設定ミスやネットワークの脆弱性を主に重視したツールであるためです。

しかし、クラウドネイティブの開発では、機密データもクラウドインフラと同じように動的な性質を帯びます。

したがって、セキュリティ担当者は、DSPM がなければ組織が新しいデータソースを作成したりクローンしたり、ほかの環境と共有するスピードについていけません。 その結果、サイバーエクスポージャー管理全体に大きなセキュリティギャップが生じます。

多くのセキュリティツールは、デプロイメントサイクルの後半、しかも場合によってはデプロイメント後に設定ミスを検出しますが、 DSPM は、機密データの発見とサイバーエクスポージャーリスク分析を開発ワークフローに組み込むことで、この状況を一変させます。

インフラリスクに重点を置くクラウドセキュリティポスチャー管理（CSPM）ツールとは異なり、DSPM はシフトレフトパイプラインが見逃しがちなデータレイヤーリスクに対処します。

強力な DSPM ソリューションは、DevSecOps 担当者が次のようなことを実行できる手段を提供します。

機密データの早期発見

クラウドストレージ、データベース、SaaS プラットフォームに含まれる認証情報やソースコードなどの機密データを、インフラのプロビジョニング時に自動的に検出します。

DevSecOps のメリット: 開発初期やステージング環境において、機密データを即座に可視化させて、気が付かないために発生するエクスポージャーを防止します。

データを正確に分類し、ラベルを付ける

発見されたデータを規制区分や内部ガバナンスポリシーにマッピングします。 環境と所有者別にデータを分類し、テスト環境が意図せずに実際の記録を公開してしまわないようにします。

分類には、パターンベースのデータには正規表現を使い、非構造化データや文脈の理解には自然言語処理（NLP）などを使うなど、さまざまな技術を用いることができます。

DevSecOps のメリット: コンプライアンスリスクとデータ漏洩の可能性を低減するため、テスト環境が実際の生産記録を公開しないようにします。

設定ミス検出のためのスキャン

パブリックバケット、オープンポート、暗号処理の無効化、過剰なアイデンティティアクセス管理（IAM）ロールなど、機密データを露呈する可能性のあるクラウド環境の設定ミスを分析します。

DSPM は、データ関連の設定ミスの見落としを防いで従来の脆弱性管理を補完します。こは全体的な脆弱性管理に不可欠です。

CSPM がインフラの設定ミスを幅広く特定するのに対し、DSPM は機密データを直接露呈する設定ミスの特定に焦点を当てます。

DevSecOps のメリット: インフラの定義に含まれるサイバーエクスポージャーリスクに関するフィードバックを開発者に早期に提供し、本番稼動前の修正を可能にします。

リスクを露呈する経路のモデリング

機密データ、インフラ、アイデンティティ間の関係を可視化して、脆弱性や過剰権限のあるロールや設定ミスのあるリソースが未承認ユーザーにデータを公開する可能性のある場所を特定します。

DevSecOps のメリット: DevSecOps 担当者は、データとアクセスの最悪の組み合わせに先行的に対処し、データリスクに基づいて修正に優先順位を付けることができます。

安全な修正を導く

SDLC に関連した以下のような修正ステップを提供します。

過剰許可が付与されたサービスアカウントの削除

テスト環境で使われていた本番データの取り換え

インフラのコード化（IaC）のモジュールを使ったストレージの自動暗号化

サイバーエクスポージャーリスクの増加を防ぐ、以前のテスト実行や非推奨サービスから残った古いデータセットやオーファンデータセットの監査と削除

DevSecOps のメリット: 明確な指示を提供し、データ関連の問題の自動修正を可能にすることで、セキュリティアプリケーションの配信を高速化します。

反復可能なセキュリティポリシーを支える

一度ポリシーを定義すれば、標準化された修正テンプレート、CI/CDフック、ポリシーのコード化統合などを使用して、プロジェクト全体に適用できます。

DSPM はまた、テストやプロトタイプの作成中に派生したシャドーデータを発見し、初期段階の環境における最小権限の権限の適用を支えます。

DevSecOps のメリット: セキュリティ・ バイ・デザイン、セキュリティを作り込む文化を醸成し、ポリシーの組み込みと自動検証を確実に行うことで、手作業によるセキュリティレビューとボトルネックを削減します。

既存のセキュリティプログラムの強化

DSPM はデータレイヤーに焦点を当てることで、脆弱性管理を充実させ、包括的なサイバーエクスポージャー管理戦略に直接貢献する重要な文脈を提供します。

DevSecOps のメリット: あらゆるリスク層を包括的に確実に理解できるようにます。

DSPM は、を拡張して GitOps ワークフローや Open Policy Agent（OPA）のようなポリシーのコード化エンジンと連携させ、データのコントロールをコード化することもできます。 開発スピードを落とさないセキュリティゲートが実現できます。

DSPM の機能は以下のような機能やツールと統合することができます。

• デプロイメント前にリスクにフラグを立てる IaC スキャンツール
• マージ前のデータ分類やアクセス解析のための CI/CD ワークフロー
• DevSecOps ダッシュボードでリスク状況をリアルタイムに監視
• スプリントプランニングの一環としてデータリスクの修正を割り当てるトラッカー

セキュリティ担当は、データの保存場所、サイバーエクスポージャー、実際のリスクに基づいて優先順位を決定する方法を継続的に可視化できます。 

エンジニアは、サイクルの早い段階で実用的な文脈を得ることができ、デプロイメント後の修正のバックログを減らし、安全なデリバリを加速することができます。

コンプライアンス担当は、分類ステータス、アクセスコントロール、修正活動の自動文書化により、監査準備がしやすくなります。

DevOps のリーダーは、担当部署、プロジェクト、ビジネスユニット全体のサイバーエクスポージャーリスクの傾向を追跡し、事後対応から事前対応型のガバナンスに変えることができます。

DevSecOps で DSPM を使用することは、データ保護態勢を損なうことなく担当者の作業を迅速に進めることを可能にします。データリスクの共有により、セキュリティ、エンジニアリング、コンプライアンスを統合することができます。 監査証跡、データ保持ルール、リスク報告を日々のワークフローに組み込む必要がある医療、金融のような規制対象業界では、この連携は特に重大です。

Tenable Cloud Security は、サイバーエクスポージャー管理のための統合プラットフォームの一部として DSPM 機能を提供します。 従来の脆弱性管理の枠を超え、ダイナミックなクラウド環境における実際のデータリスクに特化することで、DevSecOps 担当者は以下のことを実行できるようになります。

クラウド環境全体の機密データをリアルタイムで発見、分類する

データに関連する「最悪な組み合わせ」とリスク経路を特定する

検出結果を CI/CD パイプラインやチケッティングシステムに統合する

CIEM を使用した最小権限アクセスポリシーを適用する

Tenable なら、クラウドの俊敏性とスケーラビリティをサポートしながら、シフトレフトセキュリティを実施することができます。

Tenable Cloud Security が DevSecOps においてDSPMをどのように支えているかをご覧ください。